(南京医科大学,江苏 南京 211166)
高校经济业务信息化建设的内部控制研究
曹越
(南京医科大学,江苏 南京 211166)
现代信息技术的普及给高校经济发展带来了前所未有的机遇与挑战,推动了高校信息化建设的进程。近年来,财政资金投入、科研收入的不断增加,高校经济业务趋于多元化与多样化,高校经济活动管理面临着诸多困难,经济业务信息化建设成为高校亟需努力的方向。本文是从内控视角对高校经济业务信息化建设进行研究,通过梳理高校经济业务信息化流程,发现其存在的主要内控风险,确立重点监控点,从总体方向和具体环节两方面着手提出改进措施,将控制制度、控制方法等要素通过信息技术固化到信息系统中,实现内部控制程序化运行,保证高校各项经济业务合法合规,提高高校管理服务效率和效果。
高校;经济业务;内部控制;信息化
2012年财政部《行政事业单位内部控制规范(试行)》实施,旨在进一步提升行政事业单位内部管理水平,提高风险防范能力,完善内部控制建设。该规范提出“单位应当充分运用现代科学技术手段加强内部控制,对信息系统建设实施归口管理,将经济活动及其内部控制流程嵌入单位信息系统中”,可见信息化对内部控制建设的重要作用。2016年教育部办公厅制定《教育部直属高校经济活动内部控制指南(试行)》,旨在推动高校加强对经济活动的风险防范与管控,重视内部控制建设。同年,财政部印发《会计改革与发展“十三五”规划纲要》,提出加强会计信息化建设,完善内部控制规范体系,强调全面开展内部控制的重要性。随着现代技术的普及,高校内部管理逐渐信息化,如何利用信息化手段辅助高校内部控制建设至关重要。为了规范和优化高校信息系统的建设开发、防控信息化建设和运行风险,降低信息化建设和运行成本,更好地发挥经济业务信息系统的功能作用,信息化与内控的有机并行是高校需要努力追求的目标。
本文所称信息系统,是指利用计算机和通信技术,对经济活动内部控制进行集成、转化和提升所形成的信息化管理平台。经济业务信息系统内部控制的主要对象是经济业务信息系统,由计算机硬件、软件、数据、组织结构、网络通信和经济活动流程等要素组成。
1、规划环节风险
经济业务信息化建设缺乏统一管理或战略规划不合理,造成重复建设或真空区域,导致管理效率低下。经济业务信息系统规划与建设未引用先进技术,导致投入产出未达最优。没有将信息化与高校业务需求相结合,导致经济业务信息系统应用价值降低。
2、开发环节风险
经济业务信息系统开发与内部控制流程结合不紧密,权限设置与授权管理不当,降低信息技术控制的有效性。
3、系统运行过程风险
经济业务信息系统建设未能有效控制开发成本,造成建设进度缓慢或系统质量低下。经济业务信息系统间协同程度低,造成数据无法共享,影响数据分析的准确性,易导致决策失误、相关管理措施难以落实。
4、系统维护环节风险
经济业务信息系统运行维护、变更和安全措施不规范,产生信息出错、泄露或毁损的风险,影响正常运作。
5、其他风险
经济业务信息系统外部服务未能恰当履行或对其监控不当,导致高校遭受违约损失。各部门与工作人员信息安全意识薄弱,导致监管信息系统安全职责被弱化。
1、落实高校经济业务信息化建设风险的应对措施
(1)合理规划经济业务信息系统建设开发、运行、维护等环节的管理流程,提高信息技术对经济活动内部控制的有效性,减少人为操作因素,防范信息系统建设与运行中的风险点。
(2)建立相互独立与制衡的权限分配制度,分散管理员权限,严格规范系统测试工作,防控越权访问或权限滥用的风险。
(3)优化校内共享数据库平台,保证各业务系统数据的统一性和一致性,并积极推进各系统的应用和整合工作。
(4)系统管理员定期进行数据库巡检,以降低系统运行中的安全风险。
(5)组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。
(6)加强学习与研究先进信息技术,提高管理水平,为建立有效的信息与沟通机制提供支持保障。
2、明确高校经济业务信息化建设的职责分工
(1)信息与网络部门:是高校信息系统管理的归口管理部门,其主要职责有:
一是负责制定信息化建设规划,并与高校战略发展规划相协调;二是负责制定信息化建设管理办法、技术规范和标准;三是负责组织制定经济业务信息系统的信息化建设方案;四是负责汇总各部门提出的开发需求与关键控制点,规范经济业务信息系统开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照经审批的建设方案组织实施工作;五是负责加强经济业务信息系统开发全过程的跟踪管理,组织开发单位与相关部门的沟通和协调,确保信息系统的质量要求与开发进度;六是负责组织对开发完成的信息系统验收工作与上线运行;七是负责全校人员的信息化培训工作,组织指导职工正确使用信息设备;八是负责全校设备的维护和升级更新工作;九是负责信息化建设相关的安全及保密工作。
(2)使用单位:其主要职责有:
一是负责协助信息与网络部门制定和落实信息化建设规划和具体建设方案;二是负责本部门的专业性信息系统的开发、运行、维护和数据收集利用工作;三是负责配合信息与网络部门对原始数据的保存和整合工作,并确保录入数据的准确、完整和有效;四是负责将系统使用过程中存在的问题及时报告信息与网络部门,以便及时处理;五是负责在使用过程中提出新的需求,以符合业务发展的要求。
3、实现高校经济业务信息化建设的不相容岗位分离和审批权限制
(1)经济业务信息系统管理的不相容岗位
经济业务信息系统管理的不相容岗位应该包括:信息系统规划论证与审批;信息系统开发与验收;信息系统的管理与使用;信息系统运行维护与监控。
(2)经济业务信息系统管理审批权限
校务会负责采用“三重一大”决策制度,对信息化建设规划、经济业务信息系统建设方案进行审批。分管校领导负责对经济业务信息系统开发及变更方案进行审批。信息与网络部门分管领导负责对经济业务信息系统上线计划进行审批。
图1 经济信息化规划流程图
1、经济信息化规划与计划环节控制
信息与网络部门应根据经济业务需要制定信息建设的战略规划草案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,避免与实际情况脱节。分管校领导应对信息建设战略规划草案的合理性与可行性进行审查,并上报校务会审批。使用单位提出明确的信息系统建设申请后,信息与网络部门应组织专家小组对建设项目可行性进行分析,并根据专家小组出具的分析报告编制经济业务信息系统建设草案,经审批后组织信息系统开发工作。分管校领导应对经济业务信息系统建设草案的必要性与可行性进行审查,并上报校务会审批。
2、经济业务信息系统开发环节控制
(1)经济业务信息系统开发应遵循的原则
因地制宜原则:根据高校组织结构、管理理念、业务流程、核算方法等因素设计适合高校的信息系统。成本控制原则:经济业务信息系统的开发应起到降低成本、纠正偏差的作用,可选择对重要领域中关键因素进行信息系统改造。理念与技术并重原则:应将信息系统技术与经济业务信息系统管理理念整合,倡导全体员工积极参与经济业务信息系统建设开发,正确理解和使用信息系统,提高信息系统运作效率。
(2)经济业务信息系统开发应实现的目标和内容
经济业务信息系统的开发工作应确保将经济活动的目标、风险、控制措施体现在信息系统中,实现高校内部控制的目的;财务部门应将经济业务信息系统开发项目纳入高校预算控制管理,以管理该项目的财务收支情况,并根据“项目预算”进行控制。信息系统应包括预算管理、收支管理、合同管理、资产管理等业务功能模块,决策分析、系统配置管理和安全管理等系统功能模块。
(3)经济业务信息系统开发的方式和控制事项
图2 经济业务信息系统开发流程图
信息与网络部门可采取自行开发、外购调试、业务外包等方式进行系统开发工作;选定外购调试或业务外包方式的,应按照招标管理制度择优确定供应商,并加强对外包第三方的监控。信息与网络部门/供应商应根据部门需求设计系统开发方案,经分管校领导审议批准后,组织开发项目的实施,并跟进落实。信息与网络部门/供应商应在系统开发的每一阶段得到用户确认或通过相应的评审后,才可进行下一阶段的工作。在系统开发过程中,信息与网络部门/供应商应合理设置用户操作处理权限,避免将不相容职责的处理权限授予同一用户。
3、经济业务信息系统运行与维护环节控制
(1)经济业务信息系统运行控制
信息与网络部门应制定经济业务信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,做好系统运行记录,尤其是对系统运行不正常或无法运行的情况,将异常现象、发生时间和可能的原因作出详细记录,并定期收集使用单位反馈意见。用户提出账号申请后,信息与网络部门应根据申请人的职级与权限编发账号;在数据输入的过程中,使用单位应对输入的数据进行严格控制,采取建立科目名称与代码对照文件、设计科目代码校验、试算平衡控制等方法防止输入错误。在数据输出的过程中,使用单位应检查输出数据是否与输入数据相一致,输出数据是否完整,输出数据是否能满足使用单位的需要;如输出数据存在差异,应通知信息与网络部门的系统管理员查找原因。
(2)经济业务信息系统维护控制
信息与网络部门应根据高校实际经济活动与相关部门业务变更等要求,对信息系统进行升级改造;升级改造工作需注重实用性和兼容性,控制升级改造成本。信息与网络部门应对后台操作情况进行监控,及时跟踪并报告系统内异常的或者违背内部控制要求的交易和数据。信息与网络部门应配备专职系统管理员,负责系统日常维护及主机房的管理工作,处理运行中的突发事件,并向分管领导报告执行结果;应急处理结束后,应尽快恢复系统运行环境,总结经验教训并提出整改措施。信息与网络部门应制定报修服务流程,对一般故障及时处理,对需要到现场的,应在故障登记24小时内进行现场处理。信息与网络部门应制定带班值班负责制,组织信息与网络部门工作人员轮流值班,确保信息系统全天不间断安全运行。
4、安全保障环节控制
(1)制度安全保障
信息与网络部门应按照国家相关法律法规以及信息安全技术标准,制定经济业务信息系统安全实施细则;根据业务性质、重要性程度、涉密情况等确定信息系统安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证经济业务信息系统运行安全有序。信息与网络部门应建立经济业务信息系统安全保密和泄密责任追究制度,开展网络安全教育培训,并组织相关员工的安全保密协议的签署工作;委托专业机构进行系统运行与维护管理的,应审查该机构的资质,并签订服务合同和保密协议。信息与网络部门应按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,建立健全经济业务信息系统安全责任制和问责机制。
(2)设备软件安全保障
信息与网络部门应对机房进行统一管理和维护,经济活动相关的各部门应当对本部门的客户端机器及相关设备进行维护,确保相关物理环境符合规定。信息与网络部门应当加强数据共享接口的安全管理,定期进行病毒检测。信息与网络部门应加强病毒控制,在所有电脑终端上部署防病毒软件,及时更新病毒库,查杀病毒和木马。信息与网络部门应对硬件配置调整、软件参数修改严加控制,信息系统操作人员不得擅自进行系统软件的删除、修改等操作,不得擅自升级、改变系统软件版本,不得擅自改变软件系统环境配置。
(3)网络安全保障
信息系统操作人员必须严格遵守计算机及其他相关设备的操作规范,禁止从事与系统操作无关的工作。所有软盘、光盘、U盘等存贮介质必须经过系统管理员同意并查毒,未经查毒的存贮介质禁止使用。其他部门或校外单位人员若需进入机房,应进行登记,并有信息与网络部门工作人员陪同。信息与网络部门应建立系统数据定期备份制度,明确备份范围、责任人、存放地点、有效性检查等内容。使用单位应严格遵守备份制度的要求,实行双备份异地存放,并定期进行检查、复制,备份数据的周期最长不得超过一个月。
本文是从内部控制的视角对高校经济业务信息化建设进行的研究。其研究成果以及内部控制的实效性还有待于进一步检验。所以,高校的审计与法务部门还应当定期对高校经济业务信息系统内控制度的制定及其执行情况,采用询问、文件检查、重新履行、问卷调查等方式进行检查和评价。及时发现经济业务信息系统存在的内控缺陷,保障经济业务信息系统的顺畅规范,防止有关部门和管理人员隐瞒风险信息的行为。进一步有效防范高校经济业务信息化建设的风险,为高校的信息化建设保驾护航,推进高校的健康可持续发展。
[1] 乔春华:高校内部控制研究[M].苏州:苏州大学出版社,2014.
[2] 财政部:行政事业单位内部控制规范(试行)[Z].2012.
[3] 教育部:教育部直属高校经济活动内部控制指南(试行)[Z].2016.
[4] 财政部会计司:《企业内部控制应用指引第18号—信息系统》解读[J].财务与会计,2011(6).
[5] 王春晖、曹越:内部控制视角下对高校经济合同管理的思考[J].会计之友,2016(19).
[6] 廖云:新时期高校参与经济活动的风险探究[J].经济观察,2013(31).
[7] 陈姗姗:网络会计内控安全评价体系的构建与研究[J].会计之友,2014(16)
[8] 刘延平,等:构建我国高校内部控制精细化管理体系[J].中国高等教育,2015(10).
(责任编辑:杨再新)
南京医科大学科技发展基金面上项目“高校内部控制信息化建设的研究”(项目编号:2016 NJMU010)阶段研究成果。